Обнаружены новые образцы программы-вымогателя CryptoWall

image

Теги: распространение вредоносного ПО, обнаружение вредоносного ПО

Вредоносное ПО использует легитимную цифровую подпись для обхода антивирусной защиты.

Специалисты компании Barracuda Networks  обнаружили новые образцы вредоносной программы-вымогателя CryptoWall, использующие цифровую подпись законного SSL-сертификата DigiCert. Образцы распространялись посредством атак по типу drive-by download. Суть атаки состоит в том, что вредоносное ПО рассылается через рекламные Flash-баннеры, с помощью которых web-мастера хотят монетизировать свой сайт. При этом они сами могут не подозревать, что установленный на web-странице баннер сделал их портал частью сети распространения вирусов.

По данным специалистов, злоумышленники атаковали порядка 15 000 ресурсов, в том числе сайт индийского издания Hindustan Times, а также порталы Israeli sports news и Web development community. В каждом из этих случаев вредоносная программа распространялась посредством рекламной сети Zedo.

Как поясняют эксперты Barracuda Networks, с помощью легитимной цифровой подписи злоумышленники пытались обойти средства защиты web-сайтов. По сути своей, подход довольно сомнительный, поскольку такая практика широко распространена среди разработчиков вредоносного ПО, и многие антивирусные программы исключают возможность инфицирования подобным способом. Тем не менее, существует вероятность того, что с помощью цифровой подписи легитимного сертификата от надежного разработчика, вредонос сможет обойти правила вайтлистинга некоторых приложений.

После успешного проникновения в систему CryptoWall посредством шифрования через алгоритм RSA 2048 зашифровывает все файлы и данные, а затем блокирует доступ пользователя к ним. Для получения доступа к зашифрованным файлам жертве предлагается уплатить выкуп, осуществляемый в Bitcoin через обеспечивающий анонимность браузер Tor.

На сегодняшний день нет абсолютно надежного способа восстановления зашифрованных CryptoWall файлов, кроме уплаты выкупа или использования не инфицированных резервных копий. Вместе с тем, эксперты не советуют идти на поводу у преступников, поскольку нет никаких гарантий, что пользователь получит ключ дешифрования, даже заплатив требуемую сумму.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus